A Microsoft está empenhada na transparência para o ajudar a cumprir as suas necessidades regulamentares.
Os clientes da Microsoft em todo o mundo estão sujeitos a diferentes leis e regulamentos. Os requisitos legais num país ou indústria podem ser inconsistentes com os requisitos legais aplicáveis noutro país. Como fornecedor de serviços globais em nuvem, a Microsoft tem de executar os seus serviços com práticas operacionais e funcionalidades comuns em vários clientes e jurisdições. Para ajudar os seus clientes a cumprir os seus próprios requisitos, a Microsoft criou os respectivos serviços com base em requisitos de privacidade e segurança comuns. No entanto, cabe por fim aos clientes avaliar as ofertas tendo em consideração os seus próprios requisitos, para que possam determinam se os serviços satisfazem as suas necessidades regulamentares. A Microsoft está empenhada em fornecer aos seus clientes informações detalhadas sobre os respectivos serviços em nuvem para os ajudar a efectuar as suas próprias avaliações regulamentares.
Encontrará informações sobre certificações, que podem ser úteis para o ajudar na conformidade regulamentar, na secção Segurança, Auditorias e Certificação.
É obrigação do cliente cumprir as obrigações regulamentares. A Microsoft fornece informações que o ajudam a assegurar esse cumprimento. Comprometemo-nos a cumprir as leis de privacidade e protecção de dados geralmente aplicáveis aos fornecedores de serviços de TI. Se estiver sujeito a requisitos da indústria ou de jurisdição, terá de fazer a sua própria avaliação em termos de conformidade, mas os Clientes de vários sectores e áreas geográficas concluíram que podem utilizar o Microsoft Online Services de forma a cumprir os regulamentos aplicáveis, desde que utilizem os serviços de forma adequada às respectivas circunstâncias específicas.
Por exemplo, as organizações abrangidas pela Directiva de Protecção de Dados da UE deverão ter as suas próprias políticas, segurança e programas de formação para assegurar que o seu pessoal não utiliza o serviço Microsoft Online Services em violação da Directiva. O Microsoft Online Services fará a nossa parte, cumprindo as promessas feitas pela Microsoft, ajudando-o a manter a conformidade.
Para dar um exemplo, um cliente da União Europeia pode armazenar uma lista de clientes, incluindo informações de contacto. O Microsoft Online Services tem procedimentos de segurança para assegurar que o pessoal da Microsoft não acede nem divulga estas informações inadequadamente. No entanto, um dos funcionários do Cliente que é utilizador do Microsoft Exchange Online pode utilizar o serviço para enviar essa lista de clientes a um comerciante sem o devido consentimento. Qualquer violação dos requisitos de protecção de dados da UE resultante do facto de o Microsoft Online Services ter seguido a direcção do cliente - nomeadamente, enviando uma mensagem de correio electrónico durante o curso normal do fornecimento dos serviços - é da responsabilidade do cliente.
Ao abrigo da lei de Protecção de Dados da UE e do contrato com a Microsoft, o Microsoft Online Services actua como custódia dos dados, essencialmente um subcontratante (a lei designa a Microsoft como "processador de dados"). O cliente tem a propriedade final dos dados e a responsabilidade, ao abrigo da lei, de assegurar que a Microsoft está a seguir as regras e o envio de dados pessoais paraa Microsoft é legal (a lei designa o cliente como "controlador de dados"). Cabe ao cliente determinar, tendo em conta a empresa e a sua situação específica, se pode utilizar os serviços da Microsoft para processar e armazenar os seus dados pessoais.
Os requisitos da Directiva de Protecção de Dados da UE têm sido considerados na concepção e no funcionamento dos nossos serviços para uma utilização normal e monitorizamos continuamente esta área relativamente a alterações relevantes para a evolução dos serviços.
A Microsoft também é membro do programa Safe Harbor dos EUA, conforme acordado entre a UE e o Departamento de Comércio dos EUA, o que nos obriga directamente a cumprir os requisitos da Directiva de Protecção de Dados da UE e permite a transferência de dados fora da UE para fornecer o Microsoft Online Services. A Microsoft possui ainda certificação no programa Safe Harbor da UE do Departamento de Comércio dos EUA e no programa Safe Harbor da Suíça praticamente idêntico. A certificação Safe Harbor da Microsoft pode ser encontrada em http://safeharbor.export.gov/. Para mais informações sobre a transferência de dados fora da UE, consulte a secção Limites Geográficos do Centro de Fidedignidade.
Em alguns países, a Microsoft também cumpre os requisitos de segurança para armazenamento de dados pessoais confidenciais, conforme definido por lei.
Se tiver preocupações devido às regras no seu país ou ao tipo de dados que está a armazenar, ou se pretender mais informações sobre as práticas e funcionalidades suportadas do Microsoft Online Services, pode contactar o Suporte se não conseguir localizar essas informações na documentação do serviço. Na medida em que a divulgação de informações úteis não constitua um factor de vulnerabilidade para a segurança, a Microsoft irá fazê-lo para o ajudar na sua própria determinação sobre a aceitabilidade da implementação do Microsoft Online Services relativamente aos seus requisitos.
Deverá ler as FAQ acima e compreender que o facto de o Microsoft Online Services permitir à sua organização cumprir leis de privacidade, por si só, não significa que a sua organização esteja em conformidade - poderão existir passos adicionais que terá de seguir, como aplicar as políticas empresariais adequadas e dar formação a funcionários sobre boas práticas de privacidade. De igual modo, consoante o país, poderão existir passos adicionais que terá de seguir para cumprir a legislação local, como registar informações na Agência de Protecção de Dados.
Consulte as FAQ sobre HIPAA/HITECH para mais informações.
O Microsoft Online Services ajuda os clientes a cumprir os requisitos de segurança do GLBA, fornecendo salvaguardas técnicas e organizacionais para os ajudar a manter a segurança e a evitar a utilização não autorizada. A Microsoft pode fornecer, mediante pedido, um relatório de resumo de uma certificação de terceiros através de um auditor independente.
O Microsoft Online Services não suporta o processamento, a transmissão ou o armazenamento de dados regidos pela norma PCI, como números de cartões de crédito. A norma PCI não é aplicável ao Microsoft Online Services, porque o processamento de cartões de crédito e o armazenamento de dados não é uma função disponibilizada pelo Microsoft Online Services. O Microsoft Online Services aplica políticas e controlos de segurança definidos pelas melhores práticas do sector, como a norma ISO 27001, entre outras.
No entanto, tenha em atenção que os sistemas de encomenda, facturação e pagamento do Microsoft Online Services que processam dados de cartões de crédito possuem Conformidade PCI de Nível Um e os clientes podem utilizar cartões de crédito para pagar serviços em segurança.
Não. O Microsoft Online Services, como processador de dados, não efectua o registo dos dados do cliente processados em nome dos respectivos clientes nas autoridades da UE.